弱口令漏洞与验证码绕过——渗透day04

一、基于远程服务的弱口令攻击

(一）服务暴力破解软件

                    ![](https://img-blog.csdnimg.cn/7e39ab4df27f4098ba318a5ae436a019.png)

                    medusa -M smbnt -h 192.168.1.100 -u Eternal -P pass.lst -e ns -F -v 3

                    -M: 表示你要破解的类型（协议）。

                    -h：目标机器地址。

                    -u：用户名。

                    -U：指定账号列表

                    -e : 尝试空密码。

                    -F：破解成功后立即停止破解。

                    -v：显示破解过程。

                    -P：指定密码字典列表

                    -p：指定单个密码

                    通过medusa –d 查看支持的服务类型

（二）实验

                    1、例如打开一个kali、centos，两者能够通讯

                    2、使用kaili探测当前网段，探测到了一个192.168.174.130的主机

                     ![](https://img-blog.csdnimg.cn/9e6fc078e9e04d91b61ed23be52ccf76.png)

                    ![](https://img-blog.csdnimg.cn/7307de10e6664a6887ead16933842487.png)

                     3、对192.168.174.130主机进行端口探测，探测到了22端口

                    ![](https://img-blog.csdnimg.cn/a1a8487021344f0a895008c4dd75d2fd.png)

                      4、手动创建一个字典

                    ![](https://img-blog.csdnimg.cn/a5312850b791434f9ba5b25c51851a23.png)

                    ![](https://img-blog.csdnimg.cn/fbd65306e4ec40d59922e40abec6bcbd.png)

                    5、使用meduse工具进行测试，发现root为192.168.174.131主机的root用户的密码

                    ![](https://img-blog.csdnimg.cn/585b0a68c8394c66a8820c970d25b466.png)

                    同理，使用hydra进行测试

                    ![](https://img-blog.csdnimg.cn/1408862764d24518ae37dc395ff1983c.png)

                     其实kali也会自带一些字典

                     ![](https://img-blog.csdnimg.cn/c5d45bf0e0614582af74582c57338105.png)

二、基于web的弱口令测试

(一)基于表单的暴力破解

    进入pikachu靶场、开启burp suite

    ![](https://img-blog.csdnimg.cn/4a617fc56c5845368d9d324f68c1994c.png)

       

     抓包成功

    ![](https://img-blog.csdnimg.cn/ca146171b4e247db923cea8ae52277f3.png)                       

    放入重发器当中

    ![](https://img-blog.csdnimg.cn/b7650d54cfae436382017ae0c2310879.png)

    ![](https://img-blog.csdnimg.cn/39e50d0693e14d9ba58f8aa96c11cc58.png)

    如果已知用户名探测密码，将信息发送到批量处理中

    ![](https://img-blog.csdnimg.cn/f1d23c325d464374a17d7e5ef10dc7de.png)

    ![](https://img-blog.csdnimg.cn/242662315697484aa90f9e4a8011d2aa.png)

    清理掉自带的标签

    ![](https://img-blog.csdnimg.cn/be92e3e7633a456a8281365ccb458fda.png)

    将密码的位置标注为标签

     ![](https://img-blog.csdnimg.cn/361ab6923e6b46c58067d6e78ea73091.png)

     进入Payloads进行设置

​​​​​

    设置密码库，也可以用自带的密码库，这里为方便设置了几个简单的密码

    ![](https://img-blog.csdnimg.cn/e2128f7d6b9b48e9a683ea8c6c92bfba.png)

    进行攻击

    ![](https://img-blog.csdnimg.cn/ebd3255d011b4d6a92f9347160c6d0e8.png)

    注意观察Length为35052的数据，与其他条目的Length不一样，由于密码正确与否所得到的数据长度不同，由此可以推出123456位正确密码！

    ![](https://img-blog.csdnimg.cn/b3691375bd3d4994baffcc1d6218cdf5.png)

    还有另一种方法查看是否为正确密码

    随意左击一条数据，可以看出如果密码错误会返回“ username or password is not exists ”这一条数据

    ![](https://img-blog.csdnimg.cn/97a068d8f7d2494bb165ffe67b64ded3.png)

    ![](https://img-blog.csdnimg.cn/11050b8664b646c0923474e1e4429bf0.png)

    在Options中的Grep-Match中添加“ username or password is not exists ”

    ![](https://img-blog.csdnimg.cn/82e83d078355444a8c8831decc35655d.png)

    从而可以看出“username or password is not exists”出现的次数，从而判断是否为正确密码！

    ![](https://img-blog.csdnimg.cn/2cfda819ba7d4038a6e06f3eb3ed9e77.png)

    完成实验！

(二)验证码绕过（on client）

1、通过Script Blocker Ultimate插件绕过验证码

    可以看出此登录界面有验证码！

    ![](https://img-blog.csdnimg.cn/3ff5f32a1f6543b2966d5d51c4f66d5f.png)

    如果验证码输入错误或者没有输入则burp Suite没有抓取到任何包

    ![](https://img-blog.csdnimg.cn/ee9250fbca4a489d975327a6c9e08b55.png)

    ![](https://img-blog.csdnimg.cn/2e23f216e702486f8328edaddbb0a005.png)

    若验证码正确后，burp suite将成功抓取包！

    ![](https://img-blog.csdnimg.cn/f11808a5ae9f42c1910ee1fd52088202.png)

    ![](https://img-blog.csdnimg.cn/b44fc11f8ec1458d896bf63590d441bc.png)

    ctrl +   U 后可以找到验证码对应的JS代码，

    ![](https://img-blog.csdnimg.cn/8f18bb5357da4868a63fefa0df9e174a.png)

    由于这里的验证码是通过本地的JS进行验证，验证成功后，再向服务器发送数据，因此在这里，可以通过火狐的一些插件来屏蔽JS代码从而实现对验证码的屏蔽。比如Script Blocker Ultimate这款插件

    ![](https://img-blog.csdnimg.cn/dfa33644242140bdbdc73e4d322fb1d6.png)        安装Script Blocker Ultimate插件后，进行设置。

     ![](https://img-blog.csdnimg.cn/895afa92e4a24144a18429baacb5ade1.png)

    设置完成后，可以看到验证码框失效了

     ![](https://img-blog.csdnimg.cn/04cec5edeb774a23bbbeaed452e7a26c.png)

    再次登录，可以看到即使验证码框没有输入任何内容，burp Suite却抓取到了包。

    ![](https://img-blog.csdnimg.cn/0a2a0317a7be441dbd0603f868d41b03.png)

    ![](https://img-blog.csdnimg.cn/0d5169f5cbc244d2805026b15fae00a1.png)   

    次方法通过插件的方式屏蔽本地JS代码从而实现对验证码的绕过！

2、通过burp suite进行绕过验证

    上面的方法屏蔽掉了所有JS的代码，因此有时候会影响其网页的正常使用，因此可是通过burp Suite绕过前端认证

    先填写正确的验证码进行正常登录

    ![](https://img-blog.csdnimg.cn/8a45d43ef4814d0582c5e1c687b9dd89.png)

     burp suite抓取到包

    ![](https://img-blog.csdnimg.cn/619461ef408943c296d5f00f05330253.png)

    将数据包发送到触发器中

    ![](https://img-blog.csdnimg.cn/e64361feef804ffeb42f413a754c65ca.png)

    多次点击发送，可以看到burp suite不会因为脚本而收到干扰，可以直接绕过验证码来进行发送数据。

    ![](https://img-blog.csdnimg.cn/43ae36f949c6499989b22f4af2e70970.png)

    放入批量处理当

    ![](https://img-blog.csdnimg.cn/671419d8c95841208f6ff0a211a1a894.png)

    后面的操作与第一种方式一样

    ![](https://img-blog.csdnimg.cn/fe82008732d14fdcb34708b0c741592b.png)

    ![](https://img-blog.csdnimg.cn/a38882e6bcf24359bc7d696ab9f058d7.png)

    从数据的长度可以看到123456为正确的密码！

    ![](https://img-blog.csdnimg.cn/1ed63d30de6b41d9884c51f15b6186c2.png)

3、通过替换前端代码破环验证

    重新进入“验证码绕过（on client）”界面

    ![](https://img-blog.csdnimg.cn/2640515b839144fb9070690f31046140.png)

    抓取到数据包！

    ![](https://img-blog.csdnimg.cn/fbc898efbc7a4854a8c3dff932f480cd.png)

    修改验证码的判定方式

    ![](https://img-blog.csdnimg.cn/0f8b98a7980641459ce65f526141f203.png)

    对数据包进行替换设置

    ![](https://img-blog.csdnimg.cn/0f2b01ef11e64204a4a41f7ad552acec.png)

    刷新pikachu页面

    ![](https://img-blog.csdnimg.cn/8c9ce7fe1a8048f8957f44cb989c2f79.png)

    ctrl + U 查看代码，发现代码被修改

    ![](https://img-blog.csdnimg.cn/2f9c3eeb65404d0fb875ababfdea236f.png)

    验证失效

    ![](https://img-blog.csdnimg.cn/52be7f70153346ea86980745136ab3e3.png)

（三）验证码绕过（on server）

    从页面可以看出，这里的验证码是一张图片，我们先随机输入用户名、密码、验证码

    ​​​​​​ ![](https://img-blog.csdnimg.cn/004ba8dfd6d6481aa883364fe723b0f1.png)

   对burp suite抓取的文件进行设置

    ![](https://img-blog.csdnimg.cn/acef1e7b50f94b92b33682ccf53cf574.png)

     从burp suite中可以看到，此次抓取到了两个包，一个是账号密码登录的包，另一个包为验证码的图片包用于更新验证码

    ![](https://img-blog.csdnimg.cn/ff276d62c59d480fa7013d23eec3ce16.png)

     把发送账户密码的包和验证码图片的包发送到触发器中手动发送

    ![](https://img-blog.csdnimg.cn/398597dc06d940beb994fb38b8ea85fd.png)

     ![](https://img-blog.csdnimg.cn/244f798e933d45aba1187257b917f857.png)      

    首先发送一个验证码的包，得到一个新的验证码

    ![](https://img-blog.csdnimg.cn/19f70a049d184ab58931e101b1598498.png)

    在vcode中输入新的验证码，并发送包，可以看出登录成功，操作完成后，不管发送多少次账户密码的包，验证码一直为mssnat验证码，实现了验证码的固定。

    ![](https://img-blog.csdnimg.cn/5752e8d2059e4b6f9f748f9dd483f263.png)

(四)token防爆破

    1、打开靶场，从页面中可以看到并没有验证码

    ![](https://img-blog.csdnimg.cn/af016a4cea03447486955f61f2d9fc14.png)

    2、我们先随意的登入一下

    ![](https://img-blog.csdnimg.cn/63d9a78381b4447396cf7b6306f2e25f.png)

    3、从burpsuite中抓取的包可以看出，有一条token的数据。

    ![](https://img-blog.csdnimg.cn/0adf034a17ce40fd8dde528e90ebfe85.png)

    4、把这包放入触发器中，多次发动发送，可以发现出现了“ csrf token error ”提示，从这里可以看出这个“ token ”值被校验功能。

    ![](https://img-blog.csdnimg.cn/dd89df542e274233ba9490496d90f898.png)

    5、ctrl + U，查看页面的源代码，可以看到一条隐藏的token值

    ![](https://img-blog.csdnimg.cn/c4a8a8dd958342f190449da96660f0de.png)

    6、再次刷新页面，查看源代码，可以看出token值发生变化，这说明每次发送包后，token都会发生变化。

    ![](https://img-blog.csdnimg.cn/1eac3976420a4c7382dab570ee748f9b.png)

    token原理：每一次请求页面的时候，服务器都是生成一个token值，并加载到当前页面当中，返回给浏览器，浏览器接受到该值的时候，将token值保留下来，当发送登陆的数据包时，会自带这个koken值，发送完成会会自动返回当前页面，当前页面又会生成一个新的token值，这就形成了一个循环，无论登录的账号密码是否正确都会生成新的token值。

    7、对token有了一定了解后，我们重新登录该页面并抓取数据包发送至批量处理，然后只对密码和token进行标签

    ![](https://img-blog.csdnimg.cn/3a785e37ab9d4131860c006afd6e13fd.png)

    8、设置爆破的模式和字典

    ![](https://img-blog.csdnimg.cn/7d70357efaa74aa5a0967ec233352a60.png)

    ![](https://img-blog.csdnimg.cn/a8975e8f9883490f8c0c5a73a413098b.png)

    ![](https://img-blog.csdnimg.cn/774f10d6ae244f12ba8cba270ef3bf69.png)

    ![](https://img-blog.csdnimg.cn/a658b8fb2d794b4abe45e899cf6803d2.png)

    ![](https://img-blog.csdnimg.cn/1019456a0c284525858bc0a7a8ab7e4c.png)

    ![](https://img-blog.csdnimg.cn/7252eb196b874e58917b4538a71ac049.png)

    ​​​​​​​![](https://img-blog.csdnimg.cn/b53f64dd16754785adc11e3b00e813de.png)

    ![](https://img-blog.csdnimg.cn/6ed148df66f4429cbee9b89164024522.png)        9、点击攻击，这里看到第“ 1 ”条数据是没有token值进行访问的，相当于有一组数据无法验证是否正确

    ​​​​​​​![](https://img-blog.csdnimg.cn/e53f4c1ff8e244169fded610ad837cda.png)

    解决的方式是在设置字典时添加一个空格

    ![](https://img-blog.csdnimg.cn/bb84d1f08e5a4b4fbc43d7cc46cdf9ef.png)

    再次攻击，从数据包中可以看出“123456”为正确密码 

    ![](https://img-blog.csdnimg.cn/e4d32c358458466584ab672153e0e062.png)

三、拓展——

    1、在phpstudy中安装uploads并更名为cms

    ![](https://img-blog.csdnimg.cn/e0c0fd383eb84cf89d1e3ecde4c3b1fc.png)

    2、一直“ 继续 ”

    ![](https://img-blog.csdnimg.cn/18dc399ffa28450fa190fb79ee7b029f.png)

    ![](https://img-blog.csdnimg.cn/f0381cef16cc40ca961086de2c744496.png)

    ![](https://img-blog.csdnimg.cn/2041bb76cc64496a958d45f5ada9ca12.png)

    3、进入后台、登录、burpsuite抓包

    ![](https://img-blog.csdnimg.cn/bc69360af77443afa31f8c9be4b8d812.png)

    ![](https://img-blog.csdnimg.cn/6bb2c20dbb474bd0875b8ca4e084d293.png)

    ![](https://img-blog.csdnimg.cn/f6a123c505284783814d2d845c283bd2.png)

    4、在burpsuite中设置image

    ![](https://img-blog.csdnimg.cn/af8812a8b91e458da3581c33c889e02b.png)

    ![](https://img-blog.csdnimg.cn/3355b366273e442dbd6cb0d79bd2b6cc.png)

    5、查看每个数据的的内容，显示提示“ 验证码不正确 ”，然后发送一个数据包，然后回到原来登录的页面，然后刷新了验证码的图片

    ![](https://img-blog.csdnimg.cn/f85ea264e22a439488979aa61517d64d.png)

    ![](https://img-blog.csdnimg.cn/bd6ce5c4dc61432eb3e54353395bbfb8.png)

    ![](https://img-blog.csdnimg.cn/06f65ee584bc43dab553acff306034b6.png)

    ![](https://img-blog.csdnimg.cn/2f7af1469caa4d0eba2a6cf62fff09a8.png)

    6、将验证码、POST包发送至触发器

    ​​​​​​​![](https://img-blog.csdnimg.cn/8ab4eae771a843bf87f25e60bb979a6d.png)

     ![](https://img-blog.csdnimg.cn/b5ee00c5f2924fce981723f8871e4e11.png)          ​​​​​​​

     7、在触发器当中，多次发送一刻看到验证码会不断刷新

    ​​​​​​​![](https://img-blog.csdnimg.cn/c1d94f043490436aa346e44d08e05195.png)

     ​​​​​​​![](https://img-blog.csdnimg.cn/5b91147856d14df59327e67e8e7d935f.png)

     7、在这里可以通过burp suite来手动控制验证码的更新，将固定的验证码写入源代码包中,并发送，我们可以看到这里的提示是“ 你的密码错误 ”,这说明验证码通过了

    ​​​​​​​![](https://img-blog.csdnimg.cn/614fe6c2d1324312aabd68a6fca0d1cb.png)

     ​​​​​​​![](https://img-blog.csdnimg.cn/7f8d17996fe444a395c9f815443aad42.png)

     8、再次发送登录，提示“验证码不正确”,这说明验证码使用过一次后验证码就会失效，

    ​​​​​​​![](https://img-blog.csdnimg.cn/9bccbecb347843bab70a00df512cd806.png)

    9、我们刷新验证码，再次刷新验证码，然后不使用这个验证码登录，发现“ 验证码错误 ”，然后使用最新的验证码进行登录,发现还是“验证码不正确”，

    ![](https://img-blog.csdnimg.cn/b09dd5e1df5143e1ab3f829958c3c4a1.png)

     

    ![](https://img-blog.csdnimg.cn/92fb0bf2de4b494ca9000c2e5ee170d0.png)

    ![](https://img-blog.csdnimg.cn/aaa6637b800b4410a040dda138bdd80c.png)

    这说明这里的验证码无法被burp suite绕过，这说明登录页面被访问一次，验证码就会变更一次

    10、安装Pkav HTTP Fuzzer工具

    ![](https://img-blog.csdnimg.cn/4e6e7a2f402f4e9caa742b34f95ca84a.png)

     ![](https://img-blog.csdnimg.cn/d41c365352cd41c09702ef9790af6422.png)

    ![](https://img-blog.csdnimg.cn/6ff18c9b68af4777bdf6a43b9f3cc32b.png)

    ![](https://img-blog.csdnimg.cn/283744571f774f1db6a984a6dc2759ce.png)

    ![](https://img-blog.csdnimg.cn/d8121a2b3ac34fbb9b067307054827fb.png)

    ​​​​​​​![](https://img-blog.csdnimg.cn/daea02ec723a411c8ceb7fc13167f980.png)

    ![](https://img-blog.csdnimg.cn/ccb2033544ca48d9943cee8ab468b684.png)

    ![](https://img-blog.csdnimg.cn/e3137ced110149879ae021b26f4e0847.png)

    ![](https://img-blog.csdnimg.cn/67a33dbedbd242108423e506061c4b84.png)

    ![](https://img-blog.csdnimg.cn/0bb098a176f842468a49b12df764311b.png)

    ![](https://img-blog.csdnimg.cn/cf150127271f45c68d95885988574e6a.png)

    ![](https://img-blog.csdnimg.cn/fe8c2b2eb58c438797f7f9c4ff26bcaa.png)

    ![](https://img-blog.csdnimg.cn/42b69fa905134194a60150331064fd8d.png)

    ![](https://img-blog.csdnimg.cn/c7889bbaa4aa4d9e9a78c87ebb0c8e85.png)

    ![](https://img-blog.csdnimg.cn/fbc852f5f57d4ff182e207a9098e191a.png)

    这里我们在推荐一个工具Codex验证码后台爆破V2.1

    ![](https://img-blog.csdnimg.cn/986fc002185445e08dacebf7eae8bdd9.png)

    ​​​​​​​![](https://img-blog.csdnimg.cn/c342d666ba2c47d6a49117899a953cd5.png)

     ![](https://img-blog.csdnimg.cn/75cfe067a5ab4ec595cb62e8e806488d.png)

    ![](https://img-blog.csdnimg.cn/427ee14a30114624b48695458db83173.png)

    ​​​​​​​![](https://img-blog.csdnimg.cn/67dbc1c07aaf4ed6b5ca3373211e480d.png)

    ![](https://img-blog.csdnimg.cn/31395a2febfe467091a8b5d4f871b777.png)

    ![](https://img-blog.csdnimg.cn/ae443791c40146df845ea6e7991cf79f.png)

    ​​​​​​​![](https://img-blog.csdnimg.cn/2378284c3662425b9d41ebee3e815705.png)